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Initiatiefnemers van het Convenant: 

de Vereniging PO-Raad 
de Vereniging VO-raad 
de vereniging Groep Educatieve Uitgeverijen 
de Vereniging Digitale Onderwijs Dienstverleners 

leden van de sectie educatief van de vereniging Koninklijke Boekverkopersbond, 
te weten: Van Dijk Educatie B.V., Iddink Voortgezet Onderwijs B.V., de Rolf groep B.V., 
Heutink Primair Onderwijs B.V., Odin Onderwijs B.V. (h.o.d.n. Heutink ICT) en Reinders 
Oisterwijk B.V. 


overwegen dat: 


Onderwijsinstellingen in het primair en voortgezet onderwijs in toenemende mate ge¬ 
bruikmaken van Digitale Onderwijsmiddelen ten behoeve van het geven van onderwijs 
en het gebruik van deze Digitale Onderwijsmiddelen grote voordelen kent. Het maakt het 
mogelijk onderwijs meer op maat aan te bieden aan leerlingen: een wens die in Nederland 
steeds breder wordt gedeeld; 

een voorwaarde bij het gebruik van Digitale Onderwijsmiddelen is dat duidelijke afspraken 
worden gemaakt over de Verwerking van Persoonsgegevens. Met name leerlingen in het 
primair en voorgezet onderwijs vormen op het punt van de bescherming van Persoons¬ 
gegevens een kwetsbare groep. Het is daarom belangrijk dat Onderwijsinstellingen met 
alle ketenpartijen (leveranciers en aanbieders) die Persoonsgegevens Verwerken goede 
afspraken maken over het regelen en borgen van privacy; 

ten behoeve van deze voorwaarde in het Convenant afspraken worden vastgelegd tussen 
de PO-raad, VO-raad en de leden van de brancheorganisaties van educatieve uitgeverijen 
(Groep Educatieve Uitgeverijen), leveranciers van diensten en systemen in onderwijs-ICT 
(Vereniging Digitale Onderwijs Dienstverleners) en schoolleveranciers/distributeurs 
(sectie educatief van de Koninklijke Boekverkopersbond); 

het Convenant tot stand is gekomen binnen het Doorbraakproject Onderwijs & ICT, dat 
als doel heeft een doorbraak te realiseren door het (beter) benutten van ICT voor maat¬ 
werk in het primair en voortgezet onderwijs; 

uitgangspunt bij deze afspraken is dat de Onderwijsinstellingen de regie hebben en houden 
over de (Verwerking van) Persoonsgegevens en bepalen aan wie de gegevens mogen 
worden verstrekt. De Onderwijsinstellingen zijn de Verantwoordelijke voor de Verwerkingen 
van Persoonsgegevens in de zin van het Convenant; 

er behoefte is aan een Ketenplatform waarin de Initiatiefnemers en Ketenpartijen zitting 
hebben om de afspraken in het Convenant te bewaken en zo nodig aan te passen aan 
gewijzigde regelgeving, technische ontwikkelingen, of inzichten. 


b 


c 


d 


e 


2 


Convenant Digitale Onderwijsmiddelen en Privacy - Leermiddelen en Toetsen 




en wensen de navolgende afspraken vast te leggen: 


Artikel 1: Definities 

In het Convenant wordt verstaan onder: 

1 Betrokkene, Bewerker, Derde, Persoonsgegevens, Verwerking van Persoonsgegevens en 
Verantwoordelijke: de begrippen als gedefinieerd in artikel 1 van de Wbp; 

2 Convenant: dit Convenant Digitale Onderwijsmiddelen en Privacy; 

3 Convenantpartij: een tot het convenant toegetreden Onderwijsinstelling of Ketenpartij; 

4 Digitaal Onderwijsmiddel: digitaal product en/of digitale dienst bestaande uit leerstof 
en/of toetsen en de daarmee samenhangende digitale diensten, gericht op onderwijs- 
leersituaties, ten behoeve van het geven van onderwijs door of namens 
Onderwijsinstellingen; 

5 Initiatiefnemers: partijen die de initiatiefnemers zijn van het Convenant als opgenomen 
in de aanhef van het Convenant; 

6 Ketenpartij: een bedrijf of instelling die een aanbieder is van een Digitaal Onderwijsmiddel, 
of van een product of dienst als bedoeld in artikel 2 lid 3, en tevens Convenantpartij is; 

7 Ketenplatform: het platform als bedoeld in artikel 8 van het Convenant; 

8 Model Bewerkersovereenkomst: de model bewerkersovereenkomst als bedoeld in artikel 
4 van het Convenant; 

9 Onderwijsinstelling: het bevoegd gezag van een PO-school respectievelijk VO-school; 

10 Reglement: het reglement als bedoeld in artikel 8 lid 4 van het Convenant; 

11 Wbp: de Wet bescherming persoonsgegevens. 


Artikel 2: Doel en reikwijdte van het Convenant 

1 Doel van het Convenant is om waarborgen te creëren voor de zorgvuldige omgang met 
Persoonsgegevens door Onderwijsinstellingen en Ketenpartijen die worden Verwerkt in 
het kader van het gebruik van Digitale Onderwijsmiddelen. 

2 De reikwijdte van het Convenant strekt zich uit tot Verwerking van Persoonsgegevens 
door of in opdracht van Onderwijsinstellingen in het kader van het gebruik van Digitale 
Onderwijsmiddelen. 

3 In het kader van dit Convenant wordt aan een Digitaal Onderwijsmiddel gelijkgesteld 
een digitaal product of digitale dienst ten behoeve van het onderwijs(proces) voor zover 
hierin Persoonsgegevens worden Verwerkt die verstrekt worden aan of afkomstig zijn 
uit een Digitaal Onderwijsmiddel. 

4 In het 'Convenant School Informatie Systemen en Privacy 1 worden (aanvullende) afspraken 
gemaakt over de overige Verwerkingen van Persoonsgegevens binnen schoolinformatie- 
systemen, zoals leerlingadministratiesystemen, elektronische leeromgevingen en leerling¬ 
volgsystemen. 

5 Het Convenant is niet van toepassing op eventuele overige Verwerkingen waarvoor 
Ketenpartijen (met uitsluiting van Onderwijsinstellingen) Verantwoordelijke zijn. 
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Artikel 3: Rolverdeling 


1 Voor Verwerkingen van Persoonsgegevens in de zin van het Convenant is de Onderwijsin¬ 
stelling de Verantwoordelijke en de Ketenpartij de Bewerker. De Onderwijsinstelling heeft 
en houdt zelfstandige zeggenschap over het doel en de middelen van de Verwerking van de 
Persoonsgegevens. 

2 De Ketenpartij draagt er zorg voor dat de Onderwijsinstelling (voorafgaand) wordt 
geïnformeerd over de diensten die door de Ketenpartij worden verleend in relatie tot de 
Verwerking van Persoonsgegevens, en keuzes die een Onderwijsinstelling daarbij heeft. 

De Onderwijsinstelling geeft vervolgens aan de Ketenpartij aan met welke Verwerking van 
Persoonsgegevens en daarbij behorende diensten zij in het kader van het gebruik van 
Digitale Onderwijsmiddelen akkoord gaat. 

3 Convenantspartijen en Initiatiefnemers achten het van groot belang, en stimuleren in dat 
kader, dat Onderwijsinstellingen en Ketenpartijen op de hoogte zijn van verplichtingen op 
grond van de Wbp en deze naleven. 

4 De PO-Raad en de VO-raad zullen Onderwijsinstellingen ondersteunen bij vragen over de 
uitleg van het Convenant en de Model Bewerkersovereenkomst. 


Artikel 4: Bewerkersovereenkomst 

1 Als bijlage bij het Convenant is de Model Bewerkersovereenkomst opgenomen. 

2 Onderwijsinstellingen en Ketenpartijen maken bij afspraken over Digitale 
Onderwijsmiddelen waarbij Persoonsgegevens worden Verwerkt gebruik van de Model 
Bewerkersovereenkomst. Van de inhoud van de Model Bewerkersovereenkomst kan tussen 
deze partijen slechts schriftelijk en gemotiveerd worden afgeweken. 

3 Ten behoeve van de invulling van de afspraak in het tweede lid zullen Initiatiefnemers, 
onder meer via voorlichting en ondersteuning, stimuleren dat bij het maken van afspraken 
tussen Onderwijsinstellingen en Ketenpartijen gebruik wordt gemaakt van de Model 
Bewerkersovereenkomst. 

4 In de Model Bewerkersovereenkomst zijn afspraken opgenomen, vooral met betrekking tot: 

• de tussen partijen afgesproken rolverdeling; 

• het na afloop van de overeenkomt terug leveren en vernietigen van Persoonsgegevens; 

• de wijze van de naleving van de geheimhoudingsplicht; 

• de bewaartermijnen van de te Verwerken Persoonsgegevens; 

• de voorwaarden bij het inschakelen van subbewerkers; 

• de voorwaarden bij doorgifte van gegevens naar landen buiten de EER; 

• de wijze van afhandeling van incidenten; 

• de procedure in verband met de rechten van de Betrokkenen; 

• de informatieverschaffing aan de Onderwijsinstelling mede ten behoeve van de leerlingen 
en ouders; 

• overzicht met betrekking tot de diensten die de Bewerker verleent, en de categorieën 
van Persoonsgegevens die in opdracht van Verantwoordelijke door de Bewerker worden 
Verwerkt; 

• overzicht met betrekking tot het beveiligingsbeleid en de getroffen beveiligingsmaat¬ 
regelen, waarbij gebruik wordt gemaakt van de beveiligingsnormen en richtlijnen die in 
het Ketenplatform zijn/worden afgesproken. 
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Artikel 5: Doeleinden van de Verwerkingen in het kader van 
het Convenant 

1 De Verwerking van Persoonsgegevens vindt plaats ten behoeve van: 

a het met gebruikmaking van het Digitale Onderwijsmiddel geven en volgen van 
onderwijs en het begeleiden en volgen van leerlingen, waaronder: 

• de opslag van leer- en toetsresultaten; 

• het terugontvangen door de Onderwijsinstelling van leer- en toetsresultaten; 

• de beoordeling van leer- en toetsresultaten om leerstof en toetsmateriaal te kunnen 
krijgen, dat is afgestemd op de specifieke leerbehoefte van een leerling; 

• de beoordeling van de leer- en toetsresultaten van één leerling ten opzichte van 
de resultaten van een normgroep, om inzichtte krijgen hoe een leerling presteert 
ten opzichte van deze groep; 

• het kunnen uitwisselen van leer- en toetsresultaten tussen Digitale Onderwijs¬ 
middelen. 

b het geleverd krijgen/in gebruik kunnen nemen van Digitale Onderwijsmiddelen 
conform de afspraken die zijn gemaakt tussen de Onderwijsinstelling en de Ketenpartij; 

c het verkrijgen van toegang tot de aangeboden Digitale Onderwijsmiddelen, waaron¬ 
der de identificatie, authenticatie en autorisatie; 

d de beveiliging, controle en preventie van misbruik en oneigenlijk gebruik, en het 
voorkomen van inconsistentie en onbetrouwbaarheid in de, met behulp van de Digitale 
Onderwijsmiddelen Verwerkte Persoonsgegevens; 

e de continuïteit en goede werking van het Digitale Onderwijsmiddel conform de 
afspraken die zijn gemaakt tussen de Onderwijsinstelling en de Ketenpartij, waaron¬ 
der het laten uitvoeren van onderhoud, het maken van een back-up, het aanbrengen 
van verbeteringen na geconstateerde fouten of onjuistheden en het krijgen van 
ondersteuning; 

f onderzoek en analyse op basis van strikte voorwaarden vergelijkbaar met de op artikel 
25 Wbp gebaseerde Wbp 'Gedagscode voor Onderzoek & Statistiek', ten behoeve van 
het (optimaliseren van het) leerproces of het beleid van de Onderwijsinstelling; 

g het door de Onderwijsinstelling voor onderzoeks- en analyse doeleinden beschikbaar 
kunnen stellen van volledig geanonimiseerde Persoonsgegevens om daarmee de 
kwaliteit van het onderwijs te verbeteren; 

h het beschikbaar stellen van gegevens voor zover noodzakelijk om te kunnen voldoen 
aan de wettelijke eisen die worden gesteld aan Onderwijsmiddelen. 

2 De Verwerking van Persoonsgegevens met betrekking tot leer- en toetsresultaten vindt 
nooit plaats voor reclamedoeleinden of het doen van aanbiedingen door Ketenpartijen. 

3 Er vindt door Ketenpartijen geen verstrekking van Persoonsgegevens aan Derden 
plaats, tenzij deze uitwisseling plaatsvindt in opdracht van en met instemming van de 
Onderwijsinstelling of wanneer dit noodzakelijk is om te voldoen aan een wettelijke 
verplichting. 
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Artikel 6: Pseudonimisering 


1 Indien redelijkerwijs mogelijk streven Onderwijsinstellingen en Ketenpartijen ernaar om 
bij de uitwisseling van Persoonsgegevens tussen Onderwijsinstellingen en Ketenpartijen 
gepseudonimiseerde Persoonsgegevens te gebruiken. 

2 Over de wijze waarop, door wie en op welk moment pseudonimisering plaatsvindt, kan 
nader overleg worden gevoerd in het Ketenplatform met het doel om te komen tot 
afspraken die in een wijziging op het Convenant zullen worden vastgelegd. 


Artikel 7: Wettelijke informatieverplichtingen en meldingsplicht 

1 De Onderwijsinstelling informeert, al dan niet met gebruikmaking van door de Bewerker 
geleverde informatie als bedoeld in artikel 3 lid 2, de (ouders van) leerlingen van wie 
Persoonsgegevens worden Verwerkt in een Digitaal Onderwijsmiddel en welke maatregelen 
er zijn getroffen om de privacy volgens de afspraken in het Convenant te kunnen 
waarborgen. 

2 De (ouders van) leerlingen worden bij deze informatieverstrekking gewezen op hoe zij 
gebruik kunnen maken van de wettelijke rechten van de Betrokkene, zoals het inzagerecht, 
het recht op correctie van gegevens of het recht van verzet. Voor de uitoefening van deze 
rechten dienen Betrokkenen zich te wenden tot de Onderwijsinstelling. 

3 De Onderwijsinstelling onderzoekt of de Verwerking van Persoonsgegevens in de zin van 
het Convenant valt onder een wettelijke meldingsplicht, en draagt zorg voor een eventuele 
melding. 


Artikel 8: Het Ketenplatform 

1 Om de samenwerking tussen de Initiatiefnemers, Onderwijsinstellingen en Ketenpartijen 

te concretiseren en de naleving van afspraken te borgen, wordt een Ketenplatform 

opgericht waarin Initiatiefnemers en Ketenpartijen zitting hebben. 

2 In het Ketenplatform wordt/worden onder meer: 

• de uitvoering van de afspraken en de onderwerpen van het Convenant periodiek 
geëvalueerd en eventuele voorstellen tot wijziging, aanvulling of uitbreiding van het 
Convenant behandeld; 

• afspraken gemaakt over de voortgang van de uitvoering van het Convenant; 

• informatie uitgewisseld met betrekking tot de onderwerpen die in het Convenant zijn 
geregeld; 

• overleg gevoerd over de invloed van nieuwe wetgeving, technologische of andere 
ontwikkelingen op het Convenant en de werking van het Convenant in de praktijk en 
behoefte aan ondersteuning of instrumenten daarbij, een en ander op basis van risico¬ 
analyses en best practices; 

• overleg gevoerd en afspraken gemaakt over het te realiseren niveau van informatiebe¬ 
veiliging, waaronder de beveiligingsnormen, de beveiligingsaudits, de toegang tot de 
Persoonsgegevens en de afhandeling van incidenten; 

• overleg gevoerd over op welke wijze vorm kan worden gegeven aan het vraagstuk van 
privacy by design en privacy by default bij de ontwikkeling van Digitale Onderwijsmiddelen. 
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3 De PO-raad en VO-raad dragen gezamenlijk zorg voor de continuïteit en facilitering van 
het Ketenplatform. 

4 De Initiatiefnemers en Ketenpartijen zullen in gezamenlijkheid en in onderling overleg 
nadere afspraken maken over de procedure in verband met de wijziging van het 
Convenant, alsmede over de governance, de besluitvorming, de bevoegdheden, de 
kostenstructuur, de klachtenprocedure en de nadere invulling van het beheer van het 
Ketenplatform. Deze afspraken worden vastgelegd in een Reglement. 

5 Voor zover de besluitvormingsprocedure, waaronder de mogelijkheid tot het doorvoeren 
van wijzigingen, nog niet is geregeld middels het Reglement, geschiedt besluitvorming en 
wijziging van het Convenant slechts met instemming van alle Initiatiefnemers. 

6 Voor zover van toepassing vertegenwoordigen de Initiatiefnemers binnen het Ketenplatform 
hun leden en rapporteren zij over resultaten van het overleg in het Ketenplatform. 
Onderwijsinstellingen worden in het Ketenplatform in beginsel vertegenwoordigd door 
de PO-Raad en VO-Raad. 


Artikel 9: Naleving afspraken 

1 De Initiatiefnemers en Ketenpartijen stellen in het Ketenplatform een structuur vast voor 
monitoring van, en controle op, de naleving van de afspraken binnen het Convenant. 

2 Onderwijsinstellingen en Ketenpartijen nemen, voor zover mogelijk, afspraken met 
betrekking tot de naleving van het Convenant op in onderlinge afspraken, contracten - 
onder meer in het kader van aanbestedingen - en spreken elkaar onderling hierop aan. 


Artikel 10: Financiering 

1 De Initiatiefnemers en Ketenpartijen maken binnen het Ketenplatform afspraken over de 
financiering van de kosten voor uitvoering van het Convenant en voor deelname aan en 
instandhouding van het Ketenplatform. 


Artikel 11: Inwerkingtreding, toetreding en uittreding 

1 De vereniging Groep Educatieve Uitgeverijen, de Vereniging Digitale Onderwijs Dienst¬ 
verleners, leden van de sectie educatief van de vereniging Koninklijke Boekverkopersbond, 
en de Vereniging PO-Raad en VO-raad die de bij hen aangesloten schoolbesturen 
vertegenwoordigen, onderschrijven door ondertekening de uitgangspunten en afspraken 
van het Convenant. 

2 Het Convenant treedt in werking na ondertekening door Initiatiefnemers. 

3 Nog niet bij het Convenant aangesloten Ketenpartijen en niet door de PO-Raad en VO-raad 
vertegenwoordigde Onderwijsinstellingen kunnen zich aansluiten bij het Convenant door 
de verklaring, die is opgenomen in bijlage 2 bij het Convenant, te ondertekenen en toe te 
zenden aan het secretariaat van het Ketenplatform. 

De PO-raad en VO-raad dragen zorg voor het beheer van de uit het Convenant voorko- 
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4 mende activiteiten waaronder het secretariaat van het Ketenplatform en een register van 
Convenantspartijen. 

Het Convenant is aangegaan voor onbepaalde duur. 

5 

Een Initiatiefnemer en een Convenantpartij kan deelname aan het Convenant opzeggen. 

6 Deze opzegging geschiedt schriftelijk en dient te worden gericht aan het secretariaat van 
het Keten platform. 


Artikel 12: Afdwingbaarheid, klachten en geschillen 

Eventuele klachten over en geschillen tussen Convenantpartijen betreffende de inter- 

1 prefatie of uitvoering van de bepalingen in het Convenant worden in onderling overleg 
in het Ketenplatform dan wel op een nader in het Reglement overeen te komen wijze 
opgelost. 

De bepalingen in het Convenant zijn niet in rechte afdwingbaar. 

2 

In de bewerkersovereenkomst tussen Onderwijsinstellingen en Ketenpartijen kunnen in 
3 afwijking van lid 2 afspraken worden gemaakt over de toepasselijkheid en afdwingbaarheid 
van het Convenant. 
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Algemene toelichting 


Vertegenwoordigers van onderwijsinstellingen en ketenpartijen hebben gezamenlijk het 
initiatief genomen om afspraken te maken over het regelen en borgen van de persoonlijke 
levenssfeer van personen over wie persoonsgegevens worden verwerkt in het kader van 
het gebruik van digitale onderwijsmiddelen. 

Deze afspraken zijn vastgelegd in het convenant Digitale Onderwijsmiddelen en Privacy, 
dat ziet op leermiddelen en toetsen. Uitgangspunt bij deze afspraken is dat de onderwijs¬ 
instellingen de regie hebben en houden over de verwerking van persoonsgegevens, en zelf 
bepalen waarvoor de gegevens worden gebruikt of aan wie de gegevens mogen worden 
verstrekt. De onderwijsinstellingen zijn daarbij de verantwoordelijke voor de verwerkingen 
van persoonsgegevens in de zin van het convenant. 

Het convenant is in belangrijke mate een concretisering van verplichtingen die uit de Wet 
Bescherming Persoonsgegevens (Wbp) voorvloeien. Als zodanig is het te zien als een uitge¬ 
werkte regeling om met behulp van gemeenschappelijk aanvaarde afspraken de onderwijs¬ 
instellingen en ketenpartijen te ondersteunen bij de naleving van de wettelijke regels. 

Daarnaast regelt het convenant de oprichting van een ketenplatform waarin de initiatief¬ 
nemers van het convenant en de ketenpartijen zitting hebben. Dit platform dient om de 
afspraken te bewaken en zo nodig aan te passen aan gewijzigde regelgeving, technische 
ontwikkelingen of inzichten. 

Als bijlage bij het convenant is een Model Bewerkersovereenkomst opgenomen. 

De uitgangspunten van dit model sluiten aan bij de bepalingen in het convenant, de Wbp 
en de uitgangspunten zoals de toezichthouder deze in richtsnoeren en uitspraken heeft 
aangegeven. 
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Toelichting bij de artikelen 


Artikel 1 

Digitaal onderwijsmiddel 

Onder 'digitaal onderwijsmiddel' wordt in het convenant een digitaal product of digitale 
dienst verstaan die bestaat uit leerstof of toetsen en is bedoeld voor het geven van 
onderwijs door of namens de onderwijsinstelling. Het onderwijsmiddel moet gericht zijn 
op onderwijsleersituaties of toetsen en omvat ook de eventueel daarmee samenhangende 
aangeboden digitale diensten van ketenpartijen. 

Ketenpartijen 

Bij het gebruik van digitale onderwijsmiddelen, waaronder digitale leermiddelen en toetsen, 
worden persoonsgegevens verwerkt. Het gaat daarbij niet alleen om de opslag, maar 
bijvoorbeeld ook om de toegang, doorgifte en verzending van de gegevens. Hierbij vindt 
verwerking van gegevens plaats via onder meer leerlingadministratiesystemen, leerling¬ 
volgsystemen, elektronische leeromgevingen en de systemen die leermiddelen en toetsen 
beschikbaarstellen. Gezamenlijk vormen ze het 'gegevensverwerkende proces' rond 
onderwijsmiddelen. 

Binnen dit proces zijn meer partijen betrokken dan alleen de aanbieders van digitale leer- 
en toetsmiddelen. De leveranciers, distributeurs, uitgevers en ontwikkelaars vormen met 
elkaar een keten van partijen die digitaal leren en toetsen voor de leerling en de onderwijs¬ 
instelling mogelijk maken. Deze ketenpartijen staan naast de onderwijsinstellingen centraal 
binnen dit convenant. 

Onderwijsinstelling 

Daar waar in dit convenant wordt gesproken over onderwijsinstelling wordt het bevoegd 
gezag van een PO-school respectievelijk VO-school bedoeld. 

Convenantpartij 

Ketenpartijen, en onderwijsinstellingen die niet worden vertegenwoordigd door de PO-Raad 
of de VO-raad, kunnen toetreden tot het convenant en worden daarmee convenantpartij. 
Voor wat betreft de toetreding geeft artikel 11 Convenant de voorwaarden. 

Artikel 2 

Het convenant ziet op alle verwerkingen van persoonsgegevens door of in opdracht van 
onderwijsinstellingen die plaatsvinden in het kader van het gebruik van digitale onderwijs¬ 
middelen. Het kan daarbij ook gaan om het verwerken van zogenaamde 'bijzondere gegevens' 
in de zin van artikel 16 Wbp, zoals gegevens met betrekking tot de gezondheid (bijv. dyslexie). 

Onder de verwerkingen in het kader van het gebruik van digitale onderwijsmiddelen vallen niet 
alleen de verwerkingen van gegevens met digitale onderwijsmiddelen, maar ook verwerkingen 
in het kader van het verschaffen van toegang tot, het gebruik, de levering, de distributie en 
het onderhoud, en de ondersteuning van deze digitale onderwijsmiddelen. 

Daarnaast ziet het ook op de uitwisselingen van persoonsgegevens die in dat verband 
plaatsvinden tussen onderwijsinstellingen en ketenpartijen, en ketenpartijen onderling. 
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Bij bovenstaande verwerkingen gaat het daarom ook over de uitwisseling en opslag via 
leerlingadministratiesystemen, leerlingvolgsystemen, elektronische leeromgevingen en de 
systemen die leermiddelen en toetsen beschikbaar stellen. Om al deze verwerkingen onder 
de reikwijdte van het convenant te laten vallen, schakelt artikel 2, derde lid, de digitale 
producten of diensten ten behoeve van het onderwijs(proces) gelijk aan onderwijsmiddelen, 
voor zover hierin gegevens worden verwerkt die verstrekt worden aan of afkomstig zijn uit 
een digitaal onderwijsmiddel. 

Het Convenant 'School Informatie Systemen en Privacy' 

Bij het opstellen van het convenant 'Digitale Onderwijsmiddelen en Privacy (Leermiddelen 
en Toetsen)' is besloten over meer privacyvraagstukken die spelen binnen onderwijsinstel¬ 
lingen afspraken vast te leggen. Het huidige convenant zal in de toekomst onderdeel gaan 
uitmaken van een stelsel van convenanten, dat ziet op gegevensverwerkingen door onderwijs¬ 
instellingen binnen andere inhoudelijke domeinen zoals in het kader van de zorgtaken of 
bekostiging van de onderwijsinstelling. Omdat het in dat geval over andere verwerkingen 
gaat dan het huidige convenant, en daarbij deels ook andere partijen betrokken zullen zijn 
vanuit specifieke juridische rollen, moeten daarover afzonderlijke afspraken worden gemaakt 
in een afzonderlijk convenant. Het doel van het stelsel van convenanten is vooral om de 
onderlinge samenhang inzichtelijk te maken en de afspraken zoveel mogelijk uniform vast 
te leggen. 

Voor verwerkingen die buiten de reikwijdte van dit convenant vallen zal als eerste een 
Convenant 'School Informatie Systemen en Privacy' worden opgesteld (artikel 2, vierde lid 
Convenant). Dit convenant zal zich met name richten op overige verwerkingen van 
persoonsgegevens via leerlingadministratiesystemen, leerlingvolgsystemen en elektronische 
leeromgevingen die buiten de reikwijdte van het huidige convenant vallen. 

Artikel 2, vijfde lid geeft aan dat bepaalde soorten verwerkingen van gegevens, die bijvoorbeeld 
te maken hebben met het betalen van de nota, in de relatie tussen onderwijsinstelling en 
ketenpartij niet onder de werkingssfeer van het convenant hoeven te vallen. 

De reden is dat deze verwerkingen niet betrekking hebben op de verwerking van gegevens 
in opdracht van de school. Datzelfde geldt voor educatieve onderwijsmiddelen die door 
gebruikers voor privégebruik worden aangeschaft. 

Ook het gebruik van digitale onderwijsmiddelen waarbij géén persoonsgegevens worden 
verwerkt valt buiten de scope van het convenant. Denk hierbij bijvoorbeeld aan onderwijs¬ 
middelen die op cd-rom worden aangeboden of aan online digitale onderwijsmiddelen 
waarbij geen persoonsgegevens worden verwerkt. 


Artikel 3 

De rolverdeling die hier wordt beschreven stelt nadrukkelijke eisen aan beide partijen. 

De onderwijsinstelling moet de verantwoordelijkheid voor de verwerkingen op zich nemen, 
en daarnaar handelen. 

Dat zal in de praktijk echter niet altijd eenvoudig zijn. De onderwijsinstelling moet voor het 
maken van keuzes en beslissingen die voortvloeien uit de verplichtingen die op basis van 
de wet op een verantwoordelijke voor de gegevensverwerking rusten, over voldoende 
informatie beschikken om deze keuzes en beslissingen te kunnen maken. In veel gevallen 
zal de onderwijsinstelling echter te weinig kennis hebben over een specifieke verwerking. 
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Dit veelal in tegenstelling tot de ketenpartij, die in de regel juist goed op de hoogte is van 
de verwerkingen met behulp van de eigen producten en diensten. De ketenpartij dient zich 
daarom - als bewerker - te realiseren dat de onderwijsinstelling - als verantwoordelijke - 
over de verwerkingen met behulp van zijn diensten of producten, tijdig en toereikend moet 
worden geïnformeerd. Denk daarbij aan informatie over de werking van het product, de 
gegevens die worden verwerkt, de beveiliging, of de gegevens die met het product worden 
gegenereerd. Dergelijke informatie zal in de praktijk worden verschaft via de uniforme 
Privacy Bijsluiter, die een bijlage vormt van de Model Bewerkersovereenkomst bij dit 
convenant. 

Onbedoelde rolverschuiving 

De onderwijsinstelling moet met name bij het maken van afspraken over de producten, 
diensten en bijbehorende persoonsgegevensverwerkingen goed worden geïnformeerd 
over de keuzes die de onderwijsinstelling daarbij heeft (artikel 3, tweede lid, Convenant). 

Op basis van deze informatie moet de onderwijsinstelling aangeven welke producten, 
diensten en bijbehorende gegevensverwerkingen deze daadwerkelijk wil afnemen. 

Als de onderwijsinstelling deze afweging en keuze niet voldoende kan maken, bestaat de 
kans dat niet de onderwijsinstelling maar de ketenpartij onbedoeld als verantwoordelijke in 
de zin van Wbp moet worden aangemerkt. Dit moet worden voorkomen. 


Artikel 4 

Artikel 14 Wbp schrijft voor dat er aan de samenwerking met de bewerker een overeenkomst 
ten grondslag moet liggen. Het convenant bevat als bijlage een Model Bewerkersovereenkomst, 
waarover is afgesproken dat onderwijsinstellingen en ketenpartijen deze gebruiken bij 
het maken van afspraken over de verwerking van persoonsgegevens in het kader van het 
convenant. 

Indien door specifieke omstandigheden geen gebruik kan worden gemaakt van (onderdelen 
van) de Model Bewerkersovereenkomst, dan kan daar alleen gemotiveerd en schriftelijk 
van worden afgeweken. Gezien het aantal bepalingen dat ofwel wettelijk is voorgeschreven, 
of waarvan de toezichthouder (het College bescherming persoonsgegevens), aangeeft dat 
deze in de bewerkersovereenkomst moeten worden opgenomen, is de ruimte voor afwijking 
van de bepalingen in het model beperkt. 

In artikel 4, vierde lid, is een niet limitatief overzicht opgenomen van onderwerpen die zijn 
opgenomen in de bewerkersovereenkomst. Deze onderwerpen volgen in belangrijke mate 
ofwel uit de wet, ofwel uit de voorwaarden die het College Bescherming Persoonsgege¬ 
vens (CBP) aan een bewerkersovereenkomst stelt. Bij het opstellen van de overeenkomst is 
gebruik gemaakt van de'CBP Richtsnoeren beveiliging van persoonsgegevens'uit 2013. 

Belangrijke onderwerpen in de Model Bewerkersovereenkomst zijn de rolverdelingen het 
voorkomen van een onbedoelde verschuiving in die rolverdeling (zie artikel 3). Een ander 
onderwerp is de voorwaarden bij het inschakelen van zogenaamde 'subbewerkers'. 

Van een 'subbewerker' is bijvoorbeeld sprake als een onderwijsinstelling persoonsgegevens 
laat verwerken in het kader van het gebruik van een leermiddel door een ketenpartij, 
waarbij deze ketenpartij (een deel van) de gegevensverwerking aan een andere partij 
uitbesteedt. De onderwijsinstelling is dan de verantwoordelijke in de zin van de Wbp, de 
leverancier de bewerker, die op zijn beurt weer een (of meerdere) subbewerkers inschakelt, 
afhankelijk van de wijze waarop het leermiddel of de onderwijstoepassing is ingericht. 
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Artikel 5 


Artikel 5 bevat doeleinden voor de onderwijsinstelling bij het verwerken van persoonsgegevens 

in het kader van het convenant. Het betreft hier doeleinden van de onderwijsinstelling in 

de hoedanigheid van verantwoordelijke voor de gegevensverwerking. 

• Onderdeel a beschrijft als belangrijkste doelstelling het verwerken van gegevens ten 
behoeve van het geven en volgen van onderwijs en het begeleiden en volgen van leerlingen 
bij gebruikmaking van het digitale onderwijsmiddel. 

• Onderdeel b ziet op het verwerken van gegevens welke noodzakelijk is voor de levering 
van een digitaal onderwijsmiddel via bijvoorbeeld een distributeur. 

• Onderdeel c ziet op het verwerken van gegevens welke noodzakelijk is om als betrokkene 
- zoals de leerling - toegang te krijgen tot een digitaal onderwijsmiddel, bijvoorbeeld via 
Basispoort, Stichting Edu-iX, of de Kennisnet Federatie. 

• Onderdeel d ziet op het verwerken van persoonsgegevens om controle uit te kunnen 
oefenen of bijvoorbeeld geen misbruik is, of wordt gemaakt van het digitale onderwijsmiddel, 
en ziet bijvoorbeeld ook op het door een bewerker kunnen maken van een back-up van de 
gegevens. 

• Onderdeel e ziet onder meer op het verwerken van persoonsgegevens door een service¬ 
desk van de bewerker die voor de uitvoering van het werk toegang nodig heeft tot de 
persoonsgegevens, bijvoorbeeld om storingen te verhelpen of om ondersteuning te 
bieden als een leerling geen toegang krijgt tot het digitale onderwijsmiddel. Onder deze 
doelstelling valt nadrukkelijk niet het verwerken van gegevens ten behoeve van de 
productverbetering van de ketenpartijen. 

• Onderdeel f: Onder deze doelstelling valt het in opdracht van de onderwijsinstelling 
verstrekken van leerresultaten aan externe partijen ten behoeve van onderzoek. 

Een voorbeeld hiervan is een onderzoek naar leeropbrengsten door een universiteit. 

Het ter beschikking stellen van de gegevens voor een onderzoek is alleen toegestaan 
indien het onderzoek wordt uitgevoerd onder strikte voorwaarden vergelijkbaar met de 
door het CBP goedgekeurde Wbp 'Gedragscode voor Onderzoek & Statistiek. De exacte 
voorwaarden en verplichtingen waaraan het onderzoek en de onderzoeker moeten 
voldoen worden binnen het ketenplatform nader uitgewerkt en vastgesteld. Bij de tot 
totstandkoming van deze voorwaarden en verplichtingen is de Wbp "Gedragscode voor 
Onderzoek & Statistiek" leidend. 

Onderdeel f heeft overigens geen betrekking op kwalitatieve en kwantitatieve onderzoeken 
via vragenlijsten of interviews zonder dat daarbij persoonsgegevens uit leermiddelen 
worden gebruikt. Dit type onderzoeken wordt bijvoorbeeld gebruikt om inzicht te krijgen 
in de voorkeuren van docenten, of de producttevredenheid. 

• Onderdeel g: Het gaat bij deze doelstelling om het anonimiseren van persoonsgegevens, 
zodat deze geanonimiseerde gegevens vervolgens bruikbaar zijn voor onderzoek om de 
kwaliteit van het onderwijs verder te verbeteren, en om bijvoorbeeld de leerervaring van 
een leerling te optimaliseren. 


Convenant Digitale Onderwijsmiddelen en Privacy - Leermiddelen en Toetsen 


13 


Anonieme gegevens zijn gegevens betreffende een natuurlijke persoon die eerder 
identificeerbaar was, maar die na het anonimiseren niet, of slechts met onevenredige 
tijd en moeite, kan worden geïdentificeerd, noch door de voor de verwerking 
verantwoordelijke, noch door een andere partij of persoon. 

Er zijn meerdere mogelijkheden en technieken om gegevens zodanig te anonimiseren 
dat deze gegevens niet meer terug te herleiden zijn naar een natuurlijke persoon. 
Anonimiseren sluit overigens niet uit dat de gegevens niet meer individualiseerbaar zijn, 
maar dan alleen als het met de gegevens niet meer mogelijk is om de identiteit van de 
natuurlijke persoon te achterhalen. 

Omdat de gegevens na het anonimiseren geen persoonsgegevens meer zijn, vallen deze 
gegevens verder buiten de scope van de afspraken waarop het convenant ziet. 

Het onderzoek waarop onderdeel (g) ziet wijkt af van het soort onderzoeken zoals 
bedoeld onder onderdeel (f) omdat bij onderzoek zoals bedoeld onder onderdeel (f) juist 
niet uitgesloten is dat met persoonsgegevens wordt gewerkt. 

• Onderdeel h: in bepaalde gevallen kan het noodzakelijk zijn dat een ketenpartij gebruik 
moet maken van persoonsgegevens waarvoor de onderwijsinstelling de verantwoordelijke 
is, bijvoorbeeld voor het verkrijgen van een COTAN certificering. Onderwijsinstellingen 
mogen in bepaalde gevallen geen gebruik maken van deze onderwijsmiddelen indien 
deze certificering ontbreekt. De Onderwijsinspectie ziet erop toe dat onderwijsinstellingen 
zich hieraan houden. 

Toelichting: Vanaf 2014 gelden er bijvoorbeeld wettelijke eisen met betrekking tot leerling¬ 
en onderwijsvolgsysteem. Sinds 1 augustus 2014 is artikel 11, zevende en achtste lid van 
de Wet op de expertisecentra in werking getreden. Hierin wordt bepaald dat scholen 
voor (voorgezet) speciaal onderwijs voor alle leergebieden, zoals genoemd in het derde 
lid van artikel 11, een leerling- en onderwijsvolgsysteem moeten hebben. Voor het meten 
van de leervorderingen in de kennis en vaardigheden op het gebied van Nederlandse 
taal, rekenen en wiskunde moeten dit lesstof-onafhankelijke toetsen zijn die voldoen 
aan het kwaliteitsoordeel van de COTAN (Commissie Testaangelegenheden Nederland). 

Grondslagen 

De grondslagen zoals bedoeld in artikel 8 Wbp voor de verwerkingen kunnen verschillen. 
Soms zal de grondslag voor de verwerking gelegen zijn in de naleving van een wettelijke 
verplichting zijn (art. 8.c. Wbp). Dit is bijvoorbeeld het geval bij leerlingvolgsystemen. 

Maar ook andere grondslagen kunnen van toepassing zijn. Zo zal bij openbare scholen de 
grondslag gelegen zijn in de uitvoering van een publiekrechtelijke taak (art. 8.e.Wbp), en in 
andere gevallen kan het bijvoorbeeld gaan om het gerechtvaardigd belang van de 
onderwijsinstelling (8.f. Wbp). 

Artikel 5, lid 2 bepaalt dat ketenpartijen nooit een aanbieding zullen doen of reclame maken 
aan een betrokkene op basis van leerresultaten vanuit onderwijsmiddelen van deze leerling 
of ouder die vallen onder dit convenant. Buiten de reikwijdte van deze bepaling vallen 
bijvoorbeeld algemene nieuwsbrieven die aan ouders kunnen worden verstuurd wanneer 
deze zich hiervoor zelf hebben ingeschreven bij een ketenpartij. 
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Overigens mag ook op basis van het convenant 'Scholen voor primair en voortgezet onderwijs 
en sponsoring' in lesmaterialen en in leermiddelen geen (impliciete) reclame voorkomen 
en mag geen sprake zijn van onvolledige of subjectieve informatie. Dit convenant is vooraf¬ 
gaand aan het sluiten van dit convenant opnieuw bekrachtigd tot en met 2018. 

Diverse initiatiefnemers van het convenant zijn partij bij dit sponsorconvenant. 


Artikel 6 

Gelijktijdig met de totstandkoming van het convenant wordt in het kader van het Doorbraak- 
project Onderwijs & ICT onderzocht in hoeverre het mogelijk is de persoonsgegevens die 
worden gebruikt binnen het onderwijs te pseudonimiseren. Omdat er ten tijde van het 
afsluiten van het convenant nog geen duidelijkheid bestond over de mogelijkheden en 
randvoorwaarden rond pseudonimisering, zijn in het convenant geen concrete afspraken 
vastgelegd, maar wordt slechts een intentie uitgesproken. 


Artikel 7 

Wettelijke informatieplicht 

Artikel 7 sluit aan bij de rechten van de betrokkenen, met name de informatieverplichting 
die rust op de verantwoordelijke. Zo moet een onderwijsinstelling met name leerlingen en 
ouders ('betrokkenen') actief informeren over elke persoonsgegevensverwerking waarvan 
deze niet al op de hoogte zijn. De onderwijsinstelling heeft om aan de informatieverplichting 
uit de Wbp te voldoen, informatie nodig. De onderwijsinstelling zal deze informatie actief 
moeten verzamelen. 

De ketenpartij zal een deel van deze informatie - voor zover dit ziet op de aangeboden 
diensten en producten -in veel gevallen vaak al aan de onderwijsinstelling moeten aanleveren. 
Dit moet bijvoorbeeld op basis van artikel 3 Convenant, of op basis van de Model 
Bewerkersovereenkomst. Onderdeel van de Model Bewerkersovereenkomst vormt een 
door de ketenpartij in te vullen 'Privacy Bijsluiter', waarin onder meer moet zijn aangegeven 
welke persoonsgegevens worden verwerkt en welke waarborgen zijn getroffen om de privacy 
van de betrokkenen te beschermen. De onderwijsinstelling kan deze bijsluiter gebruiken 
om de ouders adequaat te informeren. 

Wettelijke meldingsplicht 

Onderwijsinstellingen moeten in beginsel gegevensverwerkingen waarvoor zij de 
verantwoordelijke in de zin van de wet zijn melden bij het CBP. Deze verplichting vervalt 
indien de verwerking valt onder een van melding vrijgestelde verwerking van persoonsge¬ 
gevens zoals opgenomen in het Wbp Vrijstellingsbesluit. Voorheen vielen verwerkingen 
binnen onderwijsinstellingen in de regel onder deze vrijstellingen. Bij het gebruik van digitale 
onderwijsmiddelen kan dit anders zijn. 

De onderwijsinstelling dient zelf te onderzoeken of de verwerking alsnog moet worden 
gemeld bij het CBP. Indien blijkt dat hier behoefte aan is, zullen De PO-Raad en VO-Raad 
zorgdragen voor een model van een melding bij het CBP. 
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Artikel 8 


Het ketenplatform zal de drager worden van de afspraken en intenties die in het convenant 
zijn vastgelegd. De PO- en VO-raad zijn de trekkers van het platform. Met de komende 
wetswijzigingen die worden verwacht - ook in Europees verband - zal de rol van het platform 
zodanig moeten zijn dat deze de ontwikkelingen in goede banen kan leiden. 

Dit vereist de inzet van alle initiatiefnemers en convenantpartijen die elkaar hierop ook op 
kunnen aanspreken. 

In de Model Bewerkersovereenkomst zal in de bijlage moeten worden omschreven welke 
beveiligingsmaatregelen er worden getroffen. Aangezien artikel 13 Wbp een optimaliserings- 
vereiste bevat, zal de beveiliging een continu punt van aandacht en zorg moeten blijven. 

De beveiliging zal daarom vast onderdeel worden van overleg in het ketenplatform, waarbij 
in gezamenlijkheid gestreefd zal worden naar een zo optimaal mogelijke beveiligingsnorm 
welke bovendien passend is gelet op de belangen van de betrokkenen en de kosten die 
met de beveiliging gepaard gaan. Het platform zal waar mogelijk directe aansluiting zoeken 
bij andere reeds lopende initiatieven op het gebied van informatiebeveiliging in het onderwijs. 

Voor zover van toepassing vertegenwoordigen de initiatiefnemers binnen het ketenplatform 
hun leden en rapporteren zij over de resultaten van het overleg in het ketenplatform via 
de hun beschikbare communicatiekanalen. 


Artikel 9 en artikel 12 

Hoewel een convenant vooral een intentieverklaring is, zullen de initiatiefnemers en 
ketenpartijen in het ketenplatform wel een structuur vaststellen voor monitoring van, en 
controle op, de naleving van de afspraken binnen het convenant. En ondanks dat de 
afspraken in het convenant niet in rechte afdwingbaar zijn, zal gebruikmaking van de Model 
Bewerkersovereenkomst ertoe leiden dat veel afspraken toch afdwingbaar worden. 

Ook op deze wijze worden partijen gebonden aan afspraken in het convenant. 

Overigens zal ook het CBP vanuit het eigen kader toezicht kunnen houden en een oordeel 
kunnen geven in hoeverre onderwijsinstellingen en ketenpartijen zich aan de wet houden. 
Het ligt in de lijn der verwachting dat het CBP hierbij ook de afspraken in het convenant en 
de Model Bewerkersovereenkomst in een weging meeneemt. 

De inrichting en positionering van het ketenplatform zal nader vorm worden gegeven. 
Daarbij is de benaming "ketenplatform" gekozen als voorlopige werktitel. 
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Artikel 11 


Ondertekening door de initiatiefnemers van het convenant 

Het convenant wordt in eerste instantie ondertekend door de initiatiefnemers van het 
convenant. Het convenant treedt in werking na ondertekening door initiatiefnemers. 

Ondertekening door overige partijen 

Ondertekening van het convenant staat uitdrukkelijk open voor nog niet aangesloten partijen 
en instellingen. Het ketenplatform zal zich actief inzetten om ook de niet aangesloten partijen 
aan te sporen te ondertekenen. Overigens worden partijen die nog niet ondertekend hebben 
door ondertekening van de Model Bewerkersovereenkomst indirect wel gebonden aan 
afspraken zoals neergelegd in het convenant. 

Nog niet aangesloten partijen en instellingen kunnen zich aansluiten bij het convenant door 
de verklaring die is opgenomen in bijlage 2 bij het convenant te ondertekenen. Niet bij de 
PO-Raad en VO-raad aangesloten onderwijsinstellingen kunnen zich aanmelden waarna zij 
als convenantpartij worden aangemerkt. In het ketenplatform worden ook deze onderwijs¬ 
instellingen in beginsel vertegenwoordigd door de PO-Raad en VO-Raad. 


Convenant Digitale Onderwijsmiddelen en Privacy - Leermiddelen en Toetsen 


17 


